Een ouder vraagt hulp voor een drugsverslaafd kind, een ondernemer gaat zakelijk en persoonlijk failliet door een manisch-depressieve stoornis, een moeder krijgt geen informatie over haar kind vanwege een familievete, de schuldhulpverlening biedt een uitgebreid overzicht van iemands financiële problemen, inclusief diens afbetalingsregelingen met online-warenhuizen. 

Van minstens tientallen inwoners van de gemeente Buren in de Betuwe staat dit soort intieme informatie online – met naam, toenaam, adressen en telefoonnummers. En van honderden burgers zijn kopieën van paspoorten, burgerservicenummers, naw-gegevens en inkomensgegevens op het internet terechtgekomen.

Buren werd op 1 april 2022 getroffen door een aanval met ransomware. Een internationaal opererende bende drong binnen op de digitale systemen en gijzelde die door ze te versleutelen. De systemen waren volgens de gemeente alweer snel operationeel, maar de cybercriminelen maakten in totaal wel de duizelingwekkende hoeveelheid van vijf terabytes aan data buit. 

Met een voorproefje wekken de aanvallers interesse bij potentiële kopers en zetten ze de gemeente onder druk

De gemeente weigerde losgeld te betalen, zo bevestigde een woordvoerder desgevraagd. Daarna zetten de aanvallers 130 gigabytes – meer dan 750 duizend bestanden – aan gejatte data op het dark web, het deel van het internet dat niet direct vindbaar is. 

Die 130 gigabyte is slechts een sample: een voorproefje waarmee de aanvallers bij potentiële kopers interesse willen wekken voor de hele dataset, en waarmee ze de gemeente onder druk zetten alsnog te betalen. Doet de gemeente dat niet, dan bestaat de mogelijkheid dat de rest ook online gaat, of wordt doorverkocht. Dat zijn nog eens bijna 30 miljoen bestanden.

Kroeglogica

Gezien de gevoeligheid van de informatie zou je verwachten dat de schrik er goed inzit bij de burgers van Buren. Dat blijkt helemaal niet het geval in de dorpskroeg van Zoelen, een dorp op enkele kilometers van Tiel. 

Terwijl vier mannen de twee biljarttafels innemen en nummers van Helene Fischer en Rob de Nijs op skihut-beat klinken, halen bezoekers en de barman hun schouders erover op. ‘Ik heb er niks over gehoord. Maar ik lees het lokale krantje ook niet,’ zegt de barman.

Een van de bezoekers kent iemand die na de aanval zijn paspoort moest laten vervangen. ‘Binnen zes weken, want de huidige zou dan zijn verlopen. Het werd vergoed door de gemeente, zowaar.’ 

Dat de gemeente weigerde de hackers te betalen, vinden ze in het café allemaal terecht. ‘Anders blijft het aan de gang.’ 

‘Het is geen ramp, als iemand hier een drugsverslaafd kind heeft is dat toch al bekend’

Dat gevoelige informatie nu op straat ligt, is vervelend maar geen ramp, zegt een van de biljartende mannen. ‘Het klinkt wellicht raar voor een buitenstaander, maar hier kent iedereen elkaar, en is alles publiek geheim. Als iemand een drugsverslaafd kind heeft, is dat in de wijde omtrek toch al bekend.’ 

Het is een soort kroeglogica waartegen weinig in te brengen valt. Overigens was de hack al breed bekend in de dorpen voordat de gemeente die officieel naar buiten bracht, aldus de biljarter. 

We fietsen verder naar Maurik, het grootste dorp van de gemeente. Het tiental mensen dat we aanspreken weet niets van de aanval, of herinnert zich vaag een brief van de gemeente te hebben gekregen, of heeft er op internet iets over gelezen. ‘Ik zag het op Nu.nl en gooide het in onze groepsapp,’ vertelt een twintiger die gras maait op het erf van een agrarisch familiebedrijf buiten Maurik. ‘Maar sindsdien heb ik er niemand meer over gehoord.’ 

Heel veel voorlichting heeft Buren niet verstrekt, valt op te maken uit ons rondje. De woordvoerder van de gemeente denkt daar anders over: ‘Wij nemen onze verantwoordelijkheid door in de eerste plaats transparant te communiceren naar inwoners.’ 

Explosieve informatie

Op het dark web is het proefmonster van 130 gigabyte lastig te vinden, maar wie verstand van zaken en geduld heeft, kan eraan komen. 

Follow the Money kreeg de sample in handen via een bezorgde specialist in digitale veiligheid. Deze persoon zegt het belangrijk te vinden dat er meer aandacht komt voor dit onderwerp: ‘Het verbaast me nogal dat ik nergens iets kan lezen over de inhoud van de gelekte documenten, terwijl die toch behoorlijk explosief is.’

De specialist en Follow the Money hebben er niet voor betaald, de sample is gratis voor wie hem kan vinden. Drie redacteuren hebben de gegevens in beslotenheid – en gezien de omvang redelijk beperkt – bekeken. Informatie die relevant zou kunnen zijn voor andere dossiers van Follow the Money is niet met collega’s gedeeld. Alle data waarover we beschikten zijn inmiddels vernietigd.

Dat er privégegevens online staan is niet alleen vervelend of pijnlijk – het kan ook gevaarlijk zijn

We hebben enkele mensen van wie gevoelige informatie online staat via e-mail benaderd. Een persoon reageerde daarop: ‘Nee ik had tot op heden geen last van het lek. Ik heb een brief gehad van de gemeente en ik heb erover gelezen in het huis-aan-huiskrantje, dus ik wist van het bestaan van het lek. Ik dacht: het hoort erbij. Je hoort ook over inbraken bij de CIA of het Pentagon. Dat de Tozo-aanvraag van mijn partner online stond, wist ik niet. Ik vind het hoogst kwalijk dat inkomensgegevens van mij en mijn partner te vinden zijn. Je weet niet wat dat voor gevolgen kan hebben.’ 

Deze Burense burger maakt zich terecht zorgen. Dat er gegevens online staan die iemand niet per se met zijn buren wil delen, is niet alleen vervelend of pijnlijk. Het kan ook gevaarlijk zijn. Het grootste risico is dat kwaadwillenden burgerservicenummers, identiteitsbewijzen, naw-gegevens en geboortedata gebruiken voor identiteitsfraude, of voor gerichte phishing-aanvallen om mensen geld afhandig te maken. 

De Autoriteit Persoonsgegevens (AP) waarschuwde er in mei in haar Jaarrapportage meldplicht datalekken 2021 voor dat persoonsgegevens kunnen worden verhandeld, al dan niet verrijkt met gegevens uit andere databestanden. Waarna criminelen ze gebruiken in spamlijsten, of in zogeheten brute force-aanvallen om toegang te krijgen tot gebruikersaccounts bij bijvoorbeeld banken, webshops en overheden. 

‘Niet onderhandelen met criminelen’

De gemeente Buren vindt dat cybercriminelen geen losgeld mogen ontvangen, net als de meeste inwoners van Zoelen en Maurik die we spraken. Burgemeester Josan Meijers ging ook na de publicatie van de 130 gigabyte op het dark web niet alsnog overstag, vertelde zij aan de website Binnenlands Bestuur: ‘Wij onderhandelen niet met criminelen’. 

Dat standpunt verwoordde ook Ingrid van Engelshoven, de toenmalige minister van Onderwijs, Cultuur en Wetenschap, na een aanval op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) in februari 2021. 

Van Engelshoven schreef de Tweede Kamer toen dat de weigering zaken te doen met boeven paste in een brede strategie, want: ‘de Nederlandse overheid betaalt geen losgeld aan criminelen’.

Volgens de universiteit viel het ‘duivelse dilemma’ tussen wel of niet betalen uit in het voordeel van de gijzelnemers

De meeste publieke instellingen houden zich aan deze lijn, zoals de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) bij een aanval in september 2020, de gemeente Hof van Twente in december 2020, en het ROC Mondriaan in Den Haag in september 2021. In geen van die gevallen werd er volgens de instellingen betaald. Ook niet wanneer de aanvallers gevoelige data op het dark web publiceerden, wat ze deden met gegevens van de NWO en het Haagse ROC. 

De enige bekende uitzondering is Maastricht University, die in 2019 bijna 2 ton afrekende om gegijzelde data terug te krijgen. Volgens de universiteit viel het ‘duivelse dilemma’ tussen wel of niet betalen uit in het voordeel van de gijzelnemers, in een poging om de ‘belangen van studenten, onderzoekers, werknemers en de universiteit zelf te beschermen’. 

De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten adviseerde de gemeente Buren om geen losgeld te betalen. Maar, erkent de woordvoerder: ‘Het is een moreel, ethisch, juridisch en financieel dilemma [en] er kunnen situaties ontstaan waarin losgeld de enige keuze is om het voortbestaan van de organisatie of de continuïteit van essentiële diensten te waarborgen.’ 

Verdienmodel doorkruisen

Behalve uit principe, is er nog een reden waarom de overheid de criminele oorlogskas liever niet spekt. Cybercriminelen investeren uitgekeerd losgeld namelijk vaak in weer nieuwe aanvalsstructuren, constateerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Tegelijkertijd becijferde diezelfde NCTV dat de ‘totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, vaak groter zijn dan het geëiste losgeldbedrag.’ Maar dat brengt de overheid niet van koers. Er wordt niet betaald.

‘De kosten om een ransomware-aanval te boven te komen, zijn vaak groter dan het geëiste losgeld’ 

Daar zijn ook praktische redenen voor, volgens voormalig minister van Justitie en Veiligheid Ferdinand Grapperhaus. Hij wees er in oktober 2021 op dat de systemen en bestanden die de aanvallers na betaling weer vrijgeven lang niet altijd goed functioneren: ‘in veel gevallen [moet] de hele ICT-infrastructuur alsnog opnieuw moet worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd.’

Bovendien kan volgens Grapperhaus niet worden uitgesloten dat de aanvallers blijven beschikken over de buitgemaakte data. Er is geen garantie dat zij die niet alsnog doorverkopen of openbaar maken, of later ‘opnieuw losgeld eisen’ om publicatie te voorkomen. 

De gemeente Buren redeneert hetzelfde, schrijft de woordvoerder: ‘De betaling van losgeld aan criminelen biedt geen garanties op het veiligstellen van data.’ 

‘Nooit betalen is gevaarlijk’ 

Toch is er een keerzijde aan het standpunt om nooit te betalen, zeggen meerdere cybersecurity-experts tegen Follow the Money. Als je niet betaalt, maken criminelen de gegijzelde data volgens hen zeker openbaar. Om de druk op het slachtoffer op te voeren, het verdienmodel in stand te houden, of om simpelweg nog iets aan de hack te verdienen. 

Het wrange bij data van overheden is dat burgers uiteindelijk de dupe zijn, zegt een cybersecurity-specialist die vanwege zijn functie in het bedrijfsleven anoniem wil blijven. ‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen. Als je goede back-ups hebt, en je bent geen vertrouwelijke info kwijt, dan hoeft het niet. Anders kun je vaak beter betalen’. 

Hij erkent dat je op die manier criminelen financiert. ‘Maar je moet in dit soort situaties de bescherming van burgers op de eerste plaats zetten. Anders ben je veel verder van huis.’

‘Vasthouden aan de harde lijn is onethisch, en makkelijk als het niet om je eigen gegevens gaat’

Cybersecurity-specialist Rickey Gevers, die met zijn bedrijf Responders vaak onderhandelt met ransomware-aanvallers, gaat nog een stap verder: ‘De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt. Ten koste van alles vasthouden aan de harde lijn is wat mij betreft onethisch. Het is makkelijk praten als het niet om je eigen gegevens gaat.’

Privacy-specialist Floor Terra, adviseur bij Privacy Company en voorheen werkzaam bij de Autoriteit Persoonsgegevens, noemt niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt. Ik geloof niet dat dat realistisch is. Ik kan me heel goed voorstellen dat een gemeente vanwege lokale belangen een andere keuze maakt.’

Ineffectief beleid 

Terra is niet de enige die zich hardop afvraagt of de harde lijn van de overheid effectief is. Rickey Gevers: ‘Ransomware-criminelen zijn in de regel opportunisten die op internet zoeken naar kwetsbaarheden. Pas als ze binnen zijn, kijken ze waar ze hebben ingebroken. Ze slaan overheden echt niet over omdat die roepen dat ze niet betalen. Maar intussen liggen wel de gegevens van de inwoners op straat.’ 

Zijn collega weerspreekt het argument dat betalen überhaupt geen zin heeft: ‘Je kunt nooit uitsluiten dat bendes data achterhouden, doorverkopen of later nog eens terugkomen, maar betaald krijgen is hun businessmodel. In die zin bepaalt de betrouwbaarheid van de bende of andere slachtoffers ook gaan betalen. Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.’ 

‘Na betaling vertellen veel bendes welke kwetsbaarheden je organisatie heeft, en krijg je ook nog tips om die te fiksen’

Deze anonieme expert ziet zelfs voordelen: ‘Betalen is vaak veel goedkoper dan herstellen. Bovendien vertellen veel bendes je na betaling welke kwetsbaarheden je organisatie heeft en krijg je ook nog tips om die te fiksen. Zie het als een securitycheck waar je anders een duurbetaald bedrijf voor moet inschakelen.’

Beiden wijzen erop dat criminelen in de particuliere sector gemakkelijker losgeld betaald krijgen. Bedrijven willen vaak verdere financiële schade door het stilliggen van processen voorkomen, en ook concurrentie- en klantgevoelige informatie beschermen. Hun meegaandheid wordt veelal ingegeven door verzekeraars, die hopen met betaling van criminelen de operationele schade zoveel mogelijk te voorkomen. 

‘Desastreus’ 

Volgens kenners is het probleem voor overheden bovendien dat hun digitale beveiliging te wensen overlaat, terwijl juist zij over veel en gevoelige informatie beschikken. Zo kwamen cybercriminelen in 2020 binnen bij de Overijsselse gemeente Hof van Twente via een nog openstaande digitale toegangspoort en een beheerdersaccount dat alleen werd beveiligd met het oerzwakke wachtwoord: ‘Welkom2020’. 

Ook bleken de inrichting en de monitoring van het netwerk ondermaats, en waren de back-ups onvoldoende beveiligd. De Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten noemde die combinatie van fouten destijds ‘desastreus’.

Privacy-specialist Floor Terra: ‘Als jouw data als gevolg van zulke fouten in handen van criminelen komt, is het heel zuur als de overheid vervolgens principieel zegt: ja maar we gaan niet onderhandelen om te proberen die data terug te krijgen. En als je je dan bedenkt dat er vrijwel geen overheid is die haar beveiliging netjes op orde heeft, of voldoet aan standaarden als de Baseline Informatiebeveiliging Overheid (BIO), kan dit een groot probleem worden.’

In België werden meerdere ziekenhuizen door een aanval getroffen, waardoor duizenden consulten moesten worden afgezegd

Of er bij de gemeente Buren fouten zijn gemaakt, is overigens niet duidelijk. Volgens de gemeente wordt nog onderzocht hoe de aanvallers precies zijn binnengekomen. De anonieme cybersecurity-specialist vreest het ergste: ‘Als je ongemerkt vijf terabyte aan data kunt weghalen, waaronder specifieke, gevoelige bestanden waaraan recent nog door mensen is gewerkt, dan lijkt het erop dat er iets heel ernstig is misgegaan in de beveiliging.’ 

Gevers: ‘Het is echt veel meer data dan je normaal gesproken in een ransomware-aanval ziet. Het heeft er dus alle schijn van dat in Buren de zaken niet op orde waren.’

De keuze om als overheidsinstelling wel of geen losgeld te betalen, is dus allerminst voor de hand liggend. Hoe erg het uit de hand kan lopen, bleek recent in België. Daar kwam op 20 mei naar buiten dat meerdere ziekenhuizen zijn getroffen door LockBit-ransomware, waardoor duizenden consulten moesten worden afgezegd. De daders claimen 400 gigabyte aan patiëntendata te hebben buitgemaakt en die te publiceren als er niet wordt betaald.

Hoewel zo’n situatie zich in Nederland (nog) niet voordeed, spreekt de Autoriteit Persoonsgegevens in de recente datalekkenrapportage haar zorg uit over een ‘explosieve toename van het aantal meldingen van datalekken veroorzaakt door cyberaanvallen’. 

Het aantal meldingen dat voorkomt uit hacks, malware of phishing verdubbelde vorig jaar ten opzichte van 2020, terwijl er in dat jaar al een toename was van 30 procent ten opzichte van 2019. Volgens de toezichthouder betekent dit dat er vorig jaar liefst 2.210 datalekken door cyberaanvallen zijn gemeld, en dat daardoor miljoenen mensen zijn getroffen. 

Volgens de Autoriteit was de sector Openbaar Bestuur goed voor 23 procent van alle gemelde datalekken. Dat is met 2.000 meldingen 9 procent meer dan in 2020. De dreiging is daarmee groter dan ooit. Follow the Money vroeg de AP daarom of zij zich – ondanks de kritiek van experts – kan vinden in de harde lijn van de overheid om nooit losgeld te betalen. Of dat er in een situatie waarin zeer gevoelige gegevens zijn buitgemaakt, zoals medische gegevens, ook een andere afweging kan worden gemaakt. Een woordvoerder antwoordt hierop dat de Autoriteit Persoonsgegevens ‘zich niet in deze discussie wil mengen’. Ze verwijst naar het uitgangspunt van de toezichthouder ‘dat criminelen niet te vertrouwen zijn’.

De woordvoerder van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid laat over het antwoord op die vraag geen misverstand bestaan: ‘Het maakt [..] niet uit wat voor informatie is buitgemaakt. Als een uitzondering zou worden gemaakt voor een bepaalde sector of type buitgemaakte informatie zou dat een aanzuigende werking kunnen hebben op kwaadwillenden en dus juist averechts werken.’  

‘Zo werkt het niet’ 

Experts wijzen erop dat lokale overheden zelf eindverantwoordelijk zijn voor hun digitale beveiliging en dat juist die organisaties, zoals de gemeente Buren, over zeer persoonlijke gegevens beschikken. De anonieme cybersecurity-expert waarschuwt: ‘Je kunt dat niet van kleine gemeenten verwachten. Daar hebben ze de budgetten ook niet voor. Iedere gemeente doet het nu op haar eigen manier. Er moet een concrete standaardisatie plaatsvinden waarbij overheden op één punt veiligheidsproducten afnemen. En dat centrale punt moet er ook voor zorgen dat beveiligingsvoorschriften worden nageleefd. Zoals het nu gaat werkt het niet.’ 

Nadia Benaissa van privacywaakhond Bits of Freedom valt hem bij: ‘Wij hebben recent onderzoek gedaan naar de naleving van de Algemene verordening gegevensbescherming door de tien grootste gemeenten. We keken ook naar de wijze waarop ze gegevens beveiligen. Dat gaat nog lang niet altijd goed. En hoewel een ransomware-aanval niet altijd uit te sluiten is, kunnen gemeenten veel meer doen om hun beveiliging op orde te krijgen. We vinden het heel ernstig voor burgers, zoals die in Buren, dat hun gegevens door een slechte beveiliging op straat komen te liggen.’

‘Het is een illusie dat je nog iets geheim kan houden, en volkomen terecht dat je criminelen niet betaalt’

Als we bij ons bezoek aan Maurik even doorvragen, gaan sommige inwoners toch twijfelen over de strategie om criminele hackers niet tegemoet te komen. 

Een ondernemer zegt dat intieme informatie over schuld- of jeugdhulp zeker niet openbaar mag worden. ‘Dus ja, moet je dan betalen? Ik vind het een heel moeilijke vraag. Ik ben sowieso niet zo blij met al die digitalisering. Het hoort bij deze tijd, vrees ik.’

Een man die zijn hond uitlaat: ‘Het is een illusie te denken dat je nog iets geheim kan houden. En het is volkomen terecht dat je criminelen niet betaalt.’ Een vrouw, eveneens met een hond, geeft hem gelijk. ‘Alhoewel ik me kan voorstellen dat ik er anders tegenaan zou kijken als het informatie is over mij of mijn kinderen.’